Attacco ransomware al Lazio, Giustozzi: “Non chiamateli hacker, questa è la criminalità organizzata”
La tragedia è stata evitata: lunedì verrà attivato un sito regionale temporaneo che conterrà le informative ai cittadini e i servizi amministrativi, i dati (seppur aggiornati al 30 luglio) sono stati recuperati, e le prenotazioni dei vaccini sono riprese già da ieri. Insomma, si vede la luce dopo l'attacco informatico sferrato al Ced della Regione Lazio. Ma cosa è successo, chi c'è dietro e, soprattutto, come fare per superare situazioni di questo tipo? Lo abbiamo chiesto a Corrado Giustozzi, docente, consulente strategico e divulgatore, esperto in sicurezza informatica, privacy, crittografia e criminalità informatica. È membro del Comitato direttivo dell'Associazione italiana per la sicurezza informatica (Clusit).
Quanto è grave l’attacco sferrato dai pirati informatici alla Regione Lazio?
L'attacco è grave semplicemente perché è andato a colpire un bersaglio molto importante. Ma di per sé è un attacco come ne succedono da anni a centinaia. Solo qualche mese fa è stato colpito il gruppo Campari, a cui è stato chiesto un riscatto da quattordici milioni di euro. In questo caso è stato grave perché ha colpito una regione come il Lazio, che non era preparata e sembrava avesse perso tutti i dati. Se fosse stata preparata non saremmo stati qui a parlarne. Il comune di Brescia, per esempio, è stato colpito allo stesso modo e ha perso i dati di tutti i cittadini. Anche l'Università di Tor Vergata, lo scorso anno ha perso una quantità di dati gigantesca. Questo non è né il primo né l'ultimo attacco di questo tipo, ma chiaramente fa più scalpore perché è stata colpita la sanità laziale in un momento in cui impegnata con la campagna vaccinale.
D’Amato dice che i dati sensibili sono al sicuro.
Da quello che emerge non appaiono in questo momento evidenze che i dati sensibili siano stati sottratti, a prescindere dal fatto di cosa se ne fa un'organizzazione criminale con i dati sanitari delle persone. Delle analisi del sangue mie e di Mattarella non frega nulla a nessuno, sono magari altre le cose rilevanti. In ogni caso, a questo punto delle indagini, l'affermazione dell'assessore mi sembra verosimile.
Qual è stata la falla, davvero un dipendente in smart working che clicca su un link può aprire la strada a un attacco di questo tipo?
Certo, è possibile. Se io sono proprietario di una risorsa e faccio una cosa sbagliata posso fare danni inenarrabili. Il problema non è quello: gli attacchi ci sono e ci casca chiunque, anche i più preparati. L'importante è avere la capacità di recuperare. L'unica salvezza a un attacco del genere è avere le copie dei dati. La Regione ce l'aveva, ma erano online, quindi accessibili quanto i dati primari, e sono stati criptati anche i salvataggi. È come se mi chiudono la macchina con le chiavi dentro. Ho la seconda chiave per sicurezza, ma anche quella l'ho lasciata dentro la macchina. La cosa grave non è l'azione del dipendente, queste cose accadono. La cosa grave è non essere in grado di superare l'attacco con una procedura di ripristino.
Esistono forme di backup non violabili?
Ovviamente si. In tantissimi uffici vedo i pc dei dipendenti con il disco rimovibile sempre collegato, perché c'è un programma automatico che ogni tot fa il salvataggio dei dati sul disco. Questa cosa è criminale, non solo stupida, perché se mi va a fuoco il pc va a fuoco pure il backup, se mi becco un ransomware se lo becca anche il backup. Soprattutto chiunque può rubarlo e portarlo via dato che non ci sono nemmeno i codici di accesso. Come si fa quindi? Collego il disco, faccio il backup, lo stacco e lo metto in cassaforte, così nessun malware lo può attaccare. Il giorno dopo farò la stessa cosa. È chiaro che con il Ced della Regione Lazio questo non lo si fa con un hard disk esterno casalingo, ma il concetto è questo. Una volta si faceva il backup su delle unità a nastro magnetiche che erano inviolabili da questo punto di vista. Ora si butta tutto in cloud, senza pensare che se una minaccia da dentro corrompe i dati lo fa anche con quelli di salvataggio e non c'è il ripristino.
Quali misure di prevenzione devono mettere in campo le amministrazioni?
Bisogna fare un'analisi dei rischi, valutare tutte le possibili minacce e adottare delle contromisure. Non è la scoperta dell'acqua calda, esistono degli standard internazionali che dicono esattamente cosa bisogna fare. Nello specifico c'è una norma del 2017 che parla di misure minime obbligatorie per tutte le pubbliche amministrazioni emanate dall'Agenzia per l'Italia digitale e una di queste dice esplicitamente che è obbligatorio tenere almeno una copia dei backup di salvataggio su un supporto non in linea proprio per prevenire queste minacce. È un preciso obbligo di tutte le pubbliche amministrazioni fare in questo modo.
Qual è l’interesse di queste organizzazioni che attaccano i sistemi informatici? Solo i riscatti oppure c’è anche altro dietro?
Solo soldi. Questi sono criminali. Non c'è terrorismo, non c'è motivazione ideologica, nonostante le dichiarazioni avventate di Nicola Zingaretti. Sono criminali e succede tutti i giorni, ma gli attacchi finiscono sui giornali solo quando sono clamorosi. Questo è un fenomeno che dura da anni, tutti gli esperti di sicurezza lo predicano da anni, tutti i rapporti delle agenzie di sicurezza lo dimostrano da anni. Se prendiamo il rapporto Clusit sono almeno quattro anni che noi, grafici alla mano, dimostriamo quanto sta crescendo questa minaccia, soprattutto verso la Sanità, perché è la vittima perfetta, è la vittima più debole, che ha tanto da perdere e che non si protegge. Di mezzo c'è la salute dei cittadini deboli e si rischia la vita delle persone. I primi ospedali con questa tecnica sono stati attaccati negli Stati Uniti nel 2015. Il motivo sono i soldi e basta. È un attacco allo Stato, perché è lui che pagherà. Piantiamola di chiamarli hacker, che non significa niente, questa è la criminalità organizzata, quella che vende armi e spaccia droga. Semplicemente hanno imparato a fare business anche in questo settore. D'altronde, se una persona qualsiasi prende un riscatto di dieci milioni di euro su un conto bitcoin, poi che ci fa, come fa a spenderli? Serve un'organizzazione capace a riciclare il denaro. Stiamo parlando di una filiera del crimine informatizzata e internazionale, spesso con la collusione delle autorità dei paesi in cui si muovono. È facile commissionare un malware, le capacità tecniche non sono sofisticatissime. Ora la caccia al colpevole lascia il tempo che trova. Sono centinaia ogni giorni gli attacchi che hanno successo. Quello su cui bisogna focalizzarsi non è nemmeno tanto respingere gli attacchi ma superare il momento di crisi. Sventare gli attacchi è importante, ma lo è ancora di più non farsi trovare impreparato. Gli incidenti accadono e a volte non si possono evitare, la prevenzione serve, ma una volta che è successo non bisogna soccombere all'emergenza.
Di Natascia Grbic ed Enrico Tata